Вчера закончилась легендарная «Магнитка», ИБ-мероприятие которое проходит вот уже 15-й раз. Первые тринадцать проходили под эгидой Банка России и были посвящены теме кибербеза в финансовой отрасли. Но потом что-то пошло не так, организаторы что-то не поделили, и Уральский форум (второе название «Магнитки») переехал в Екатеринбург, а Магнитка осталась на своем месте, месте силы.
И надо сказать, что атмосфера мероприятия не изменилась на на йоту. Кулуары, бани, пельмени, гора, караоке, жаркие споры, обмен мнениями, гитара… Все как и раньше и никакой COVID-19 этому не помешал. Контент обсуждать не буду; скажу только одно — мне он не зашел. А вот про антипленарку, открывающую конференцию, расскажу чуть подробнее — она того стоит. Когда она задумывалась, хотелось обсудить дилемму, перед которой все чаще стоят наши ИБшники, — выполнять нормативку или заниматься результативной ИБ? Но первое после 24-го февраля прошлого года никто не отменил, угроз стало больше, а решений, с помощью которых с ними можно было бороться, меньше.
Назрела необходимость кардинальных перемен в нормативке, так как по-старому уже жить нельзя, а нового у нас пока нет.
Так я считал, когда придумывал концепцию антипленарки, и со мной соглашались многие коллеги, которые в хвост и в гриву ругают регуляторов, неспособных учесть текущий момент и только наращивающих бумажное бремя, тяжким грузом падающее на плечи ИБшников. Но на самой антипленарке все пошло немного не так, как было запланировано. Возможно, присутствие регуляторов не дало раскрыться всем участникам дискуссии, возможно наличие в зале СМИ, но так никто прямо и не сказал все, что он думает о регуляторике 🙁 Даже наоборот. Прозвучало несколько доводов в пользу ИБшной регуляторики:
- Она помогает выбивать бюджет и получать ресурсы.
Но задача ИБ же не в этом состоит; разве нет? Надо недопустимые события делать невозможными, угрозы отражать, инциденты предотвращать. И это не всегда прямо коррелирует с бюджетом.
- Рост регуляторики — это мировой тренд и Россия не может остаться в стороне от него.
И зачем нам ориентироваться на западный и восточный мир? И почему рост нормативки там сигнализирует, что это хорошо?
- Регуляторика помогает наказывать организации, которые допускают инциденты ИБ.
Ну куча примером с утечками ПДн показывает, что наличие нормативки совершенно не помогает. А некоторых (особенно из госухи) вообще не наказывают.
Некоторые участники дискуссии заявили, что им нормативка не помогает, но и не мешает, — они могут ее крутить как угодно в своих целях. И тут тоже вопрос — а зачем ее крутить, если можно вовсе отказаться? Зачем содержать целый штат тех, кто занимается compliance, если эти ресурсы можно потратить на что-то более важное и результативное для ИБ?
Почему-то вообще ни разу не прозвучала мысль, что нормативные акты, а лучше рекомендации, должны создаваться на основе реальных инцидентов, которые эта нормативка должна предотвращать в будущем 🙁
То есть логика должна быть следующей. Произошел инцидент и не один. Регулятор (сам или с экспертами) собрал данные, оценил их, составил рекомендации по предотвращению и выпустил их в оборот. Вот так это должно работать. Если уж обязательные требования и нужны, то в очень ограниченных случаях и только на уровне базовых мер.
180 базовых мер из приказов ФСТЭК и 400 мер из ГОСТа Банка России — это совсем не «база».
Самое интересное, что присутствовавший на пленарке регулятор признал, что у них (да и у других тоже, как выяснилось на Уральском форуме) практически отсутствует процедура и практика отмены ранее принятых НПА. То есть их число только растет. И это приводит к пересечению и конфликту требований, сложности их восприятия. Но не к увеличению уровня защищенности информационных активов. Скорее даже наоборот 🙁
На антипленарке прозвучала мысль, что надо отменять обязательные требования, а взамен жестко наказывать за реализованные инциденты или нарушение базовых правил гигиены. Как, например, это делается с штрафами за нарушение ПДД (нарушили скоростной режим — получили автоматический штраф). Так и тут — непропатчили в течении месяца трендовую уязвимость — регулятор нашел это путем сканирования Рунета и влепил автоматом штраф. Сначала небольшой, потом оборотный. Если не работает регуляторика, то пусть хотя бы наказание рублем дает свой эффект. Половина зала согласилась с таким подходом, вторая (возможно, это были интеграторы и вендоры, для которых регуляторика — это возможность продать больше) — нет.
Истина, как обычно, где-то посередине. Мне видится следующий набор активностей, который мог бы помочь решить проблему с регулированием ИБ:
- Пересмотр уже принятых требований (вместе с экспертами больших и малых компаний) в поисках дублирующих, противоречивых и явно избыточных требований с последующей их отменой.
- Уход от обязательных требований в сторону большего числа практических и методических рекомендаций по результатам оперативно проведенных расследований инцидентов.
- Сдвиг в нормативке с ответа на вопрос «что делать» в сторону «как делать», то есть она должна быть больше про выстраивание процессов, а не про тупое требование чего-то, что понимается и трактуется регуляторами, интеграторами и потребителями по-разному.
- Усиление правоприменения и отказ от практики ухода от наказания «приближенных» или «своих» (перед законом должны быть все равны).
- Приоритизация защитных мер/рекомендаций в зависимости от типа/масштаба организации (как это сделано в CIS Controls).
А вообще дискуссия получилась неплохой. И даже если регуляторы не прислушаются, полтора часа пролетели незаметно, как всегда и бывает, когда хорошие и умные люди, как будто на пляже, в окружении пальм, в шортах и шезлонгах, потягивая коктейли, принесенные длинноногими и полуодетыми красотками, обсуждают ИБ 🙂
Добрый день!
Во многом согласен!
Удручает то, что все ждали выход поправок в гост 57580.1 и 2. Однако, вместо этого за 3 года ЦБ РФ решили выпустить гост 57580.3 и 4. Ну что тут скажешь….спасибо что услышали….
Второй раз не пять звезд. Но повысил до 3(хотя много)…как это -разговор на кухне)))))))) Система плодит сущности, а контролировать не может…контрольные органы которые не контролируют…судебные органы не понимая вообще об чем речь вы
4. Усиление правоприменения и отказ от практики ухода от наказания «приближенных» или «своих» (перед законом должны быть все равны).
Что значит УСИЛЕНИЕ?- как можно усилить то, что не существует?
судебные органы не понимая вообще об чем речь выносит решения.
Уважаемый Алексей Викторович, добрый день.
У нас с коллегами возникли разногласия, как понимать следующее предложение ФСТЭК по внесению изменений в приказ ФСТЭК № 235:
«В случае невозможности обеспечения средств защиты информации гарантийной, технической поддержкой со стороны разработчиков (производителей), субъектом критической информационной инфраструктуры должны быть реализованы организационные и технические меры, обеспечивающие блокирование (нейтрализацию) угроз безопасности информации с необходимым уровнем защищенности значимого объекта,
в соответствии с Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры
Российской Федерации, утвержденными приказом ФСТЭК России
от 25 декабря 2017 г. № 239.».
Коллеги настаивают, что необходимый уровень защищенности в терминологии ФСТЭК осуществляется ТОЛЬКО с использованием сертифицированных ФСТЭК СЗИ. Я смотрю нормативку и, во первых, ничего не нахожу про необходимый уровень защищенности, что под ним понимается, а во вторых, в 239 приказе ФСТЭК использование сертифицированных СЗИ носит факультативный характер. Подскажите пожалуйста, как следует понимать проектируемое требование ФСТЭК по обеспечению необходимого уровня защищенности значимого объекта в соответствии с требованиями 239 приказа ФСТЭК в случае прекращения гарантийной и технической поддержки СЗИ их производителями?
ЦБ вот категорически против методических рекомендаций
Да, увы
Уважаемый Алексей Викторович, здравствуйте.
У нас с коллегами возникли разногласия в понимании следующих предложений ФСТЭК по внесению изменений в 235 приказ:
«В случае невозможности обеспечения средств защиты информации гарантийной, технической поддержкой со стороны разработчиков (производителей), субъектом критической информационной инфраструктуры должны быть реализованы организационные и технические меры, обеспечивающие блокирование (нейтрализацию) угроз безопасности информации с необходимым уровнем защищенности значимого объекта,
в соответствии с Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры
Российской Федерации, утвержденными приказом ФСТЭК России
от 25 декабря 2017 г. № 239.».
Коллеги настаивают, что необходимый уровень защищенности в терминологии ФСТЭК осуществляется ТОЛЬКО с использованием сертифицированных ФСТЭК СЗИ. Я смотрю нормативку и, во первых, не нахожу в ней, что понимается под необходимым уровнем защищенности, а во вторых, приказ ФСТЭК № 239 предусматривает использование сертифицированных СЗИ на факультативной основе.
Подскажите пожалуйста, как Вы понимаете проектируемое требование ФСТЭК об обеспечении необходимого уровня защищенности значимого объекта в соответствии с 239 приказом ФСТЭК в случае прекращения гарантийной и технической поддержки СЗИ их производителями?
Я не считаю, что речь идет о сертификации. Речь идет о том, что, например, если у вас не устраняются уязвимости, вы не можете использовать такие решения на периметре или надо использовать технологии виртуального патчинга. Или до момента получения патча по доверенным каналам надо блокировать доступ к уязвимому приложению и т.п.
Спасибо!
Уважаемый Алексей Викторович, здравствуйте.
ФСТЭК подготовила следующие изменения в приказ № 235:
«В случае невозможности обеспечения средств защиты информации гарантийной, технической поддержкой со стороны разработчиков (производителей), субъектом критической информационной инфраструктуры должны быть реализованы организационные и технические меры, обеспечивающие блокирование (нейтрализацию) угроз безопасности информации с необходимым уровнем защищенности значимого объекта, в соответствии с Требованиями…утвержденными приказом ФСТЭК России от 25 декабря 2017 г. № 239.».
Коллеги настаивают, что необходимый уровень защищенности в терминологии ФСТЭК осуществляется ТОЛЬКО с использованием сертифицированных ФСТЭК СЗИ.
Я смотрю нормативку и, во первых, не нахожу в ней, что понимается под необходимым уровнем защищенности, а во вторых, приказ ФСТЭК № 239 предусматривает использование сертифицированных СЗИ на факультативной основе.
Подскажите пожалуйста, как Вы указанное требование об обеспечении необходимого уровня защищенности значимого объекта в соответствии с 239 приказом ФСТЭК в случае прекращения гарантийной и технической поддержки СЗИ их производителями?
зато целая отрасль фунциклирует — нормативка! ессно с практикой ничего общего